El documento describe los cinco componentes clave del control interno que un auditor debe evaluar: 1) el entorno de control, 2) el proceso de valoración de riesgos, 3) los sistemas de información, 4) las actividades de control, y 5) el seguimiento de los controles. Explica que cada componente debe analizarse para determinar su diseño y su implementación efectiva. El control interno es relevante para la auditoría en la medida que previene o detecta incorrecciones materiales en la información financiera.

1. COMPONENTES DEL CONTROL
INTERNO
I. INTRODUCCION:
En muchas ocasiones, cuando se habla de controles internos las percepciones de
su significado son muy distintas, dependiendo del usuario, preparador, auditor o
dirección. Para algunos usuarios, control interno se refiere a los procedimientos de
conciliaciones y autorizaciones; para otros, pudieran ser los controles relativos a
fraude; y para otros, ser solo políticas y procedimientos establecidos en las
empresas.
Sin embargo, de manera general se puede comentar que los controles internos son
las respuestas de la administración de una empresa o negocio para mitigar un factor
identificado de riesgo o alcanzar un objetivo de control.
II. DESARROLLO:
Los objetivos de los controles internos pueden agruparse en cuatro categorías:
 Estratégicos.
 De información financiera.
 De operaciones.
 De cumplimiento de las disposiciones legales y reglamentos.
Si bien las empresas requieren establecer controles internos para mitigar los riegos
asociados con estos temas; para efectos de la auditoría de estados financieros, el
control interno relevante es el relacionado con la información financiera.
En el presente artículo se analizará la evaluación del control interno y sus
componentes en la auditoría de estados financieros, tomando en cuenta las
disposiciones de las Normas Internacionales de Auditoría (NIA) para efectos de
exponer la finalidad, el alcance y la naturaleza del control interno sobre la

2. información financiera, incluyendo los cinco componentes que debe evaluar el
auditor de los estados financieros.
ANTECEDENTES
Conforme a la NIA 315, Identificación y valoración de los riesgos de incorrección
material mediante el conocimiento de la entidad y de su entorno, el auditor obtendrá
conocimiento del control interno relevante para la auditoría. Para esto el auditor
deberá primeramente excluir de su análisis los controles internos que van
encaminados a temas no relacionados con la información financiera, y
posteriormente identificar cuáles de los controles internos relacionados con
información financiera son relevantes, conforme su juicio profesional, para que con
base en estos realice su evaluación.
El primer paso para el auditor es evaluar el diseño del control para identificar los
riesgos que se busca mitigar con el control; posteriormente, habrá que identificar
qué controles existen para mitigar esos riesgos. También, a su vez, deberá
determinar si se han implementado mediante entrevistas con personal de la
empresa y la realización de procedimientos adicionales.
La principal consideración del auditor es si, y cómo, un control específico previene
o detecta y corrige incorrecciones materiales en las transacciones, saldos de
balance o información a revelar y sus aseveraciones relacionadas.
Los controles internos abarcan cinco componentes clave que se indican a
continuación:
 Entorno (o ambiente) de control.
 Proceso de valoración del riesgo de la entidad.
 Sistemas de información.
 Actividades de control.
 Seguimiento (o monitoreo) de los controles.

3. ENTORNO (O AMBIENTE) DE CONTROL
Este componente es la base para el resto de los componentes del control; un
ambiente de control débil origina que sin importar el adecuado diseño del resto de
los componentes, no se pueda confiar totalmente en estos. El ambiente de control
fija el nivel de disciplina y estructura que hay en la empresa.
Algunas áreas clave al analizar este componente por parte del auditor se enlistan a
continuación:
 Integridad y valores éticos. Existe en la empresa desde la alta dirección
hasta los niveles iniciales de personal un compromiso con valores de
integridad y éticos, tanto en palabras como en hechos, con lo cual se busca
desincentivar cualquier tipo de conducta inapropiada.
 Compromiso con la competencia. La empresa toma medidas para que su
personal operativo y directivo conozca cómo realizar su trabajo de una
manera eficiente y adecuada.
 Participación efectiva de los responsables del gobierno de la entidad.
Existen órganos independientes que efectivamente estén vigilando el
adecuado funcionamiento de la empresa.
 Estructura organizacional y asignación de autoridad y
responsabilidad. Existe una estructura organizacional adecuada para
llevar a cabo los objetivos, definiéndose los niveles de autoridad y
responsabilidad para cada uno de los elementos de esta estructura.
PROCESO DE VALORACIÓN DE RIESGO DE LA ENTIDAD
El componente del proceso de valoración de riesgo de la entidad consiste en que el
auditor evalúe lo adecuado del proceso interno de la entidad para identificar los
riesgos de negocio de la empresa (relevantes para la información financiera), las
estimaciones de la importancia de los mismos, la evaluación de la probabilidad de
ocurrencia y la toma de decisiones respecto a dichos riesgos.
El proceso de valoración del riesgo brinda a la empresa la información que necesita
para determinar qué riesgos de negocio y de fraude deben atenderse, y en su caso,
las medidas a tomar. Estará a decisión de la empresa realizar las gestiones para

4. tratar riesgos específicos o, en su caso, asumir dichos riesgos, debido al costo
beneficio que implica mitigarlos o eliminarlos.
El proceso de valoración de riesgo normalmente trata las siguientes cuestiones:
cambios en el entorno operativo, nuevas tecnologías, crecimiento rápido,
contrataciones de personal de alta dirección, nuevos modelos de negocio, productos
o actividades.
En caso de que se identifiquen riesgos de incorrección material no identificados por
la administración, el auditor deberá cuestionar las razones por las cuales fallaron los
procesos de la administración de la empresa para detectarlos y si dichos procesos
son adecuados a las circunstancias.
SISTEMAS DE INFORMACIÓN
Un sistema de información se integra por la infraestructura, software, personas,
procedimientos y datos con los que cuenta un negocio o empresa para dirigirla,
alcanzar sus objetivos e identificar y responder a los factores de riesgo.
El auditor deberá analizar primordialmente los sistemas de información relacionados
con la información financiera; en particular los sistemas relacionados con los
procesos operativos (de negocio) tales como: ventas, compras, nóminas,
producción, etc.; así como los sistemas de contabilidad que son donde se asientan
los registros contables correspondientes.
Al analizar los sistemas de información como parte del proceso de evaluación de los
componentes del control interno, deberá considerarse lo siguiente:
Identificar las fuentes de información utilizadas. En este punto deberán analizarse
los tipos de transacciones significativas para los estados financieros, cómo se
originan, qué registros contables se generan y cómo captan los sistemas los hechos
y condiciones significativos para los estados financieros
Captación y proceso de información. En este punto deberán identificarse los
procesos de información financiera para las transacciones habituales y no

5. habituales, así como la inclusión de estimaciones contables y/o revelaciones
significativas.
Utilización de la información generada. En este punto se analizará la forma de
comunicar por la empresa la información financiera, los informes resultantes y su
utilización en la empresa, así como los informes a los responsables del gobierno de
la empresa y a terceros, tales como las autoridades regulatorias.
Debido al alto nivel y complejidad actual de los sistemas de información,
principalmente en empresas de gran tamaño, puede ser conveniente que en el
proceso de evaluación de este componente, el auditor se apoye en el trabajo de
especialistas de Tecnología de Información (TI).
ACTIVIDADES DE CONTROL
Las actividades de control son las políticas y procedimientos que ayudan a asegurar
que las directrices de la administración se lleven a cabo. Estos controles se refieren
a riesgos que, si no se mitigan, pondrían en riesgo el llevar a cabo los objetivos de
la empresa.
Las actividades de control pueden clasificarse en los siguientes cuatro tipos:
 Preventivos. Controles para evitar errores o irregularidades.
 De detección. Controles para identificar errores o irregularidades después
de que hayan ocurrido para tomar medidas correctivas.
 De compensación. Controles para brindar cierto grado de seguridad
cuando es incosteable la aplicación de otros controles más directos.
Ejemplos: segundas firmas, supervisión de terceros, supervisión selectiva
interna, etcétera.
 De dirección. Controles para orientar al personal hacia los objetivos
deseados, por ejemplo las políticas y los procedimientos.
Algunos controles comunes a nivel del proceso operativo incluyen temas como los
siguientes:

6. Segregación de funciones: donde reduce la oportunidad de que una persona por sí
misma pueda llevar a cabo u ocultar errores o fraudes.
Controles de autorizaciones: define quién tiene la autoridad para aprobar diversas
transacciones, comunes o no comunes.
Conciliaciones de cuentas: incluye preparar y revisar conciliaciones oportunamente
y tomar decisiones sobre posibles diferencias.
Controles de aplicación e TI: estos se incluyen en las aplicaciones de los sistemas
de información, los cuales son automatizados o parcialmente automatizados.
Revisión de resultados reales: comparar los resultados reales contra los
presupuestados y periodos anteriores, así como analizar comportamientos
inesperados de los resultados.
Controles físicas: están relacionados con la seguridad física de los activos, acceso
a instalaciones, registros contables, sistemas de información, archivos de datos,
etcétera.
SEGUIMIENTO (O MONITOREO) DE LOS CONTROLES
El seguimiento o monitoreo evalúa la eficacia de la ejecución del control interno en
el tiempo y su objetivo es asegurarse de que los controles trabajen adecuadamente
o, en caso contrario, tomar las medidas correctivas necesarias. El seguimiento le
permite a la dirección de la empresa saber si los controles internos son eficaces,
están implementados adecuadamente, se usan y se cumplen diariamente, o si
necesita modificaciones o mejoras.
El seguimiento se da por la dirección de la empresa, mediante actividades
periódicas, evaluaciones específicas o una combinación de ambas. Asimismo, el
seguimiento de la dirección puede incluir el uso de información externa que pueda
resaltar problemas o áreas de oportunidad: quejas de clientes, comentarios de
organismos terceros e informes de auditores externos o consultores sobre al control
interno.

7. De la Guía para el uso de las Normas Internacionales de Auditoría en auditorías de
Pequeñas y Medianas Entidades, emitida por la International Federation of
Accountants, se incluye la siguiente tabla que establece la forma en que interactúan
los cinco componentes del control interno:
Como se observa, los componentes del control interno, analizados anteriormente,
se categorizan como controles generalizados y de cuentas específicas. Los
generalizados son los que, de manera indirecta, sirven para prevenir que ocurran
incorrecciones, o para detectarlas y corregirlas después que hayan ocurrido; los de
cuentas específicas están enfocados en riesgos sobre transacciones en particular y
diseñados específicamente para prevenir o detectar y corregir incorreciones.
Se esperaría que los controles generalizados fueran evaluados por el personal de
auditoría con mayor experiencia y, en su caso, los de cuentas específicas por el
personal de menor experiencia.
CONCLUSIÓN
Es importante considerar que no solo la evaluación de los componentes del control
interno es un requerimiento de las NIA, sino que también nos permite como auditores
de estados financieros, realizar un proceso de auditoría más eficiente (inversión de
tiempos) donde se puedan enfocar los procedimientos de auditoría a las áreas
críticas y con alto riesgo de incorrección material y, en su caso, minimizar o reducir
la aplicación de procedimientos de auditoría en otras áreas menos críticas con bajo
riesgo de auditoría, documentándose según las NIA.
Al mismo tiempo, esta evaluación del control interno nos permite obtener un
conocimiento de las empresas e informar a la administración o a los responsables
del gobierno corporativo, respecto a fallas o debilidades en el sistema de control
interno, las cuales han sido identificadas en el transcurso de nuestra auditoría; esto
brindará un valor agregado al cliente al contratar nuestros servicios como auditores.

8. INFOGRAFIA: